DeadLock Ransomware
แคมเปญแรนซัมแวร์สมัยใหม่ถูกสร้างขึ้นมาเพื่อเปลี่ยนข้อมูลส่วนบุคคลหรือข้อมูลองค์กรของคุณให้กลายเป็นเครื่องมือสำคัญ เมื่อไฟล์สำคัญถูกเข้ารหัส ผู้โจมตีจะฉวยโอกาสทั้งหมด เว้นแต่คุณจะเตรียมการไว้ล่วงหน้า ความปลอดภัยที่เข้มงวด การป้องกันแบบหลายชั้น และกลยุทธ์การสำรองข้อมูลที่ยืดหยุ่น ช่วยลดโอกาสที่ไฟล์แนบที่เป็นอันตราย โปรแกรมติดตั้งที่ถอดรหัส หรือการดาวน์โหลดที่ไม่ได้รับอนุญาตเพียงไฟล์เดียว จะนำไปสู่การหยุดชะงักทางธุรกิจหรือการสูญเสียข้อมูลอย่างถาวรได้อย่างมาก DeadLock Ransomware เป็นตัวอย่างที่ดีว่าทำไมพื้นฐานเหล่านี้จึงสำคัญ
สารบัญ
สิ่งที่ทำให้ DeadLock แตกต่าง
DeadLock คือตระกูลแรนซัมแวร์เข้ารหัสไฟล์ที่แท็กเหยื่อแต่ละรายด้วยตัวระบุที่ไม่ซ้ำกัน ในระหว่างการโจมตี มันจะเข้ารหัสข้อมูลผู้ใช้และเปลี่ยนชื่อไฟล์ที่เข้ารหัสแต่ละไฟล์โดยการเพิ่ม ID ของเหยื่อและนามสกุล '.dlock' เข้ากับชื่อไฟล์เดิม ตัวอย่างเช่น '1.png' จะกลายเป็น '1.png.F8C6A8.dlock' และ '2.pdf' จะกลายเป็น '2.pdf.F8C6A8.dlock' ID นี้ถูกใช้ตลอดกระบวนการกรรโชกทรัพย์เพื่อติดตามเหยื่อและเชื่อมโยงการชำระเงินกับคีย์ถอดรหัส DeadLock ยังปล่อยบันทึกเรียกค่าไถ่ซึ่งชื่อไฟล์มีตัวระบุเดียวกันนี้ฝังอยู่ (เช่น "READ ME.F8C6A8.txt") และเปลี่ยนวอลเปเปอร์เดสก์ท็อปเพื่อย้ำว่าระบบถูกบุกรุก
ภายในบันทึกเรียกค่าไถ่
บันทึกดังกล่าวมีประเด็นสำคัญหลายประการที่ออกแบบมาเพื่อชี้นำการกระทำต่อไปของเหยื่อ โดยระบุว่าไฟล์ที่เข้ารหัสจะไม่สามารถกู้คืนได้หากไม่มี 'คีย์ถอดรหัสเฉพาะ' ซึ่งมีเพียงผู้โจมตีเท่านั้นที่ครอบครอง เหยื่อจะได้รับแจ้งให้ติดตั้ง Session Messenger ที่เน้นความเป็นส่วนตัว และติดต่อโดยใช้ Session ID ที่ให้มา (ซึ่งเชื่อมโยงกับรหัสประจำตัวของเหยื่อที่ฝังอยู่ในชื่อไฟล์อีกครั้ง) ผู้โจมตีจะขอให้เหยื่อส่งไฟล์ที่เข้ารหัสหนึ่งไฟล์พร้อมกับ 'คีย์ส่วนตัว' (รหัสประจำตัวเฉพาะ) เพื่อยืนยัน นี่เป็นกลยุทธ์ทั่วไปที่ใช้เพื่อสร้างความไว้วางใจโดยการถอดรหัสตัวอย่างที่ไม่เป็นอันตราย
กลยุทธ์การชำระเงินและการกดดัน
ผู้ให้บริการ DeadLock เรียกร้องสกุลเงินดิจิทัล โดยเฉพาะ Bitcoin หรือ Monero พวกเขาสัญญาว่าหลังจากชำระเงินแล้วจะส่งมอบตัวถอดรหัสที่ใช้งานได้ เช่นเดียวกับการดำเนินการเรียกค่าไถ่ส่วนใหญ่ ไม่มีการรับประกันที่บังคับใช้ได้ บันทึกนี้ยังใช้ความกลัวเพื่อยับยั้งความพยายามกู้คืนด้วยตนเอง โดยเตือนเหยื่อไม่ให้เปลี่ยนชื่อไฟล์ที่เข้ารหัส และอย่าลองใช้เครื่องมือถอดรหัสของบุคคลที่สาม โดยอ้างว่าการกระทำดังกล่าวอาจทำให้ข้อมูลเสียหายอย่างถาวรหรือทำให้ราคากู้คืนสูงขึ้น คำเตือนเหล่านี้ส่วนหนึ่งเป็นด้านเทคนิค (การจัดการที่ไม่เหมาะสมอาจทำให้การกู้คืนซับซ้อนขึ้น) และอีกส่วนหนึ่งเป็นแรงกดดันทางจิตใจ
การตรวจสอบความเป็นจริงของการถอดรหัส
ประสบการณ์กับแรนซัมแวร์โดยทั่วไป รวมถึงข้อความของผู้ปฏิบัติการเอง ล้วนยืนยันความจริงอันหนักแน่นว่า ในกรณีส่วนใหญ่ คุณไม่สามารถถอดรหัสไฟล์ที่เข้ารหัสแบบ DeadLock ได้ หากปราศจากความร่วมมือและเครื่องมือของผู้โจมตี ดังนั้นจึงเหลือทางเลือกในการกู้คืนข้อมูลที่ทำได้จริงสองทาง: (1) การสำรองข้อมูลที่ใช้งานได้ ซึ่งออฟไลน์ อยู่นอกสถานที่ มีเวอร์ชัน หรือมัลแวร์ไม่สามารถเข้าถึงได้ในขณะโจมตี หรือ (2) จ่ายค่าไถ่และหวังว่าอาชญากรจะยอมรับข้อตกลง การจ่ายเงินมีความเสี่ยง ผู้โจมตีอาจหายตัวไป ส่งตัวถอดรหัสที่เสียหาย หรือใช้การชำระเงินเป็นสัญญาณว่าคุณเป็นเป้าหมายที่อ่อนไหวต่อการรีดไถในอนาคต หากเป็นไปได้ ควรพึ่งพาการสำรองข้อมูลที่ไม่ได้รับผลกระทบ แทนที่จะจ่ายค่าไถ่
ทำไมการถอดออกทั้งหมดจึงสำคัญ
แม้การเข้ารหัสจะเสร็จสิ้นแล้ว การปล่อยแรนซัมแวร์ไว้ในระบบก็ยังคงเป็นอันตราย ส่วนประกอบที่เหลืออาจเข้ารหัสไฟล์ที่สร้างขึ้นใหม่ เก็บเกี่ยวข้อมูลประจำตัว เปิดช่องโหว่ หรือพยายามแพร่กระจายข้ามเครือข่ายท้องถิ่น การกำจัดแรนซัมแวร์โดยการสแกนปลายทาง การตรวจสอบหน่วยความจำ การตรวจสอบงานที่กำหนดเวลาไว้ รายการเริ่มต้น และตัวควบคุมโดเมน เป็นสิ่งสำคัญอย่างยิ่งในการป้องกันความเสียหายซ้ำ
เวกเตอร์การติดเชื้อเดดล็อกทั่วไป
ผู้โจมตีจำเป็นต้องมีฐานที่มั่นในระยะเริ่มต้น แคมเปญแรนซัมแวร์มักเชื่อมโยงกับช่องทางการเผยแพร่ที่หลากหลาย ซึ่งอาศัยความไว้วางใจ ความอยากรู้อยากเห็นของผู้ใช้ และทางลัดในการลดต้นทุน:
- ซอฟต์แวร์เชิงพาณิชย์ที่ละเมิดลิขสิทธิ์หรือ 'แคร็ก' รวมถึงเครื่องสร้างคีย์รวมและเครื่องมือหลีกเลี่ยงใบอนุญาตที่ติดตั้งมัลแวร์อย่างลับๆ
- ซอฟต์แวร์แคร็ก คีย์เจน และตัวเปิดใช้งานที่ไม่เป็นทางการถูกดึงออกมาจากเว็บไซต์ warez หรือ Torrent
- ไฟล์แนบอีเมลที่เป็นอันตราย: เอกสาร Word ที่เป็นกับดัก (มักเปิดใช้งานแมโคร) ไฟล์ PDF ไฟล์เก็บถาวร ZIP ไฟล์สคริปต์ หรือโหลดที่สามารถปฏิบัติการได้ซึ่งปลอมตัวเป็นใบแจ้งหนี้ ใบแจ้งการจัดส่ง หรือแบบฟอร์มด่วนของทรัพยากรบุคคล
- การโฆษณาที่เป็นอันตราย (โฆษณาที่เป็นอันตราย) ที่เปลี่ยนเส้นทางผู้ใช้ไปยังชุดเครื่องมือโจมตีหรือหน้าดาวน์โหลดที่เป็นอันตราย
- แพลตฟอร์มการแบ่งปันแบบเพียร์ทูเพียร์และศูนย์กลางการดาวน์โหลดของบุคคลที่สามที่รวมตัวติดตั้งใหม่พร้อมเพย์โหลดที่ซ่อนอยู่
- สื่อที่ถอดออกได้ (เช่น ไดรฟ์ USB ที่ติดไวรัส) ที่ทำงานอัตโนมัติหรือล่อลวงผู้ใช้ให้เปิดไฟล์ที่ติดไวรัส
- พอร์ทัลสนับสนุนด้านเทคนิคปลอมที่กดดันให้ผู้ใช้ดาวน์โหลด "การแก้ไข" หรือ "การอัปเดต" ที่มีตัวโหลดแรนซัมแวร์อยู่จริง
- เว็บไซต์ที่ถูกละเมิดลิขสิทธิ์ซึ่งเต็มไปด้วยการดาวน์โหลดแบบไดรฟ์บายหรือสคริปต์ที่ฉีดเข้ามาเพื่อส่งมอบเนื้อหา
แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดเพื่อเสริมสร้างการป้องกันของคุณ
การรักษาความปลอดภัยแบบหลายชั้นช่วยลดรัศมีการโจมตีของแรนซัมแวร์ได้อย่างมาก ต่อไปนี้คือขั้นตอนการป้องกันที่จัดลำดับความสำคัญเพื่อช่วยป้องกันไม่ให้ DeadLock และภัยคุกคามที่คล้ายกันประสบความสำเร็จ:
- รักษาการสำรองข้อมูลที่สำคัญแบบออฟไลน์ที่เชื่อถือได้
- ควรแก้ไขระบบปฏิบัติการ แอปพลิเคชัน และเฟิร์มแวร์ทันที โดยเฉพาะบริการที่เปิดเผยและชุดผลิตภาพที่เสี่ยงต่อการโจมตีแบบแมโครหรือการโจมตีทางช่องโหว่
- ใช้การป้องกันปลายทาง/EDR ที่มีชื่อเสียงพร้อมการตรวจจับแรนซัมแวร์ตามพฤติกรรมและการแยกอัตโนมัติ
- บังคับใช้บัญชีผู้ใช้ที่มีสิทธิ์ขั้นต่ำ ปิดการใช้งานผู้ดูแลระบบภายในเมื่อไม่จำเป็น แยกข้อมูลประจำตัวผู้ดูแลระบบออกจากการใช้งานรายวัน
- จำกัดการดำเนินการแมโคร อินเทอร์พรีเตอร์สคริปต์ และไฟล์ไบนารีที่ไม่ได้ลงนามผ่านนโยบายกลุ่ม การอนุญาตแอปพลิเคชัน และการเข้าถึงโฟลเดอร์ที่ควบคุม
- ปรับใช้การกรองความปลอดภัยอีเมล: แซนด์บ็อกซ์ไฟล์แนบ ตรวจสอบลิงก์ และทำเครื่องหมายประเภทไฟล์ที่น่าสงสัยหรือโดเมนผู้ส่งปลอม
- ปิดใช้งานการทำงานอัตโนมัติบนสื่อแบบถอดได้และสแกนอุปกรณ์ USB ก่อนทำการติดตั้ง
- ต้องใช้การตรวจสอบปัจจัยหลายประการ (MFA) สำหรับการเข้าถึงระยะไกล คอนโซลผู้ดูแลระบบ และอินเทอร์เฟซการจัดการการสำรองข้อมูล
บทเรียนระยะยาว
DeadLock ตอกย้ำแนวคิดที่เกิดขึ้นซ้ำๆ ในกลุ่มแรนซัมแวร์ นั่นคือ ผู้โจมตีไม่จำเป็นต้องมีช่องโหว่ที่ล้ำสมัย หากผู้ใช้ปลายทางดาวน์โหลดเครื่องมือที่ถอดรหัส เปิดไฟล์แนบที่ไม่ผ่านการตรวจสอบ หรือเรียกดูเครือข่ายโฆษณาที่ไม่น่าเชื่อถือเป็นประจำ เทคนิคการรักษาความปลอดภัยขั้นพื้นฐาน การแก้ไขวินัย การควบคุมการเข้าถึง การสำรองข้อมูลที่ได้รับการตรวจสอบ และการรับรู้ของผู้ใช้ ล้วนเปลี่ยนวิกฤตที่อาจเกิดขึ้นให้กลายเป็นเหตุการณ์ที่สามารถแก้ไขได้ ลงทุนในระบบป้องกันเหล่านี้ตั้งแต่วันนี้ เพราะต้นทุนต่ำกว่าค่าไถ่ที่ต้องจ่ายภายใต้แรงกดดันมาก
ความคิดปิดท้าย
ความสามารถในการต้านทานแรนซัมแวร์ถูกสร้างขึ้นมาก่อนที่จะถูกโจมตีบนหน้าจอของคุณ การทำความเข้าใจวิธีการทำงานของ DeadLock และการนำการควบคุมเชิงป้องกันและการกู้คืนแบบหลายชั้นมาใช้ จะช่วยให้คุณเตรียมพร้อมรับมือกับภัยคุกคามนี้และภัยคุกคามอื่นๆ ที่คล้ายกันได้ หมั่นตรวจสอบสิ่งที่คุณไม่ได้จงใจค้นหาหรือตรวจสอบ ความระมัดระวังของคุณคือแนวป้องกันแรก และมักจะเป็นแนวป้องกันที่ดีที่สุด
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ DeadLock Ransomware:
|
# All your important files are encrypted! # Your important files have been encrypted by DeadLock using military-grade encryption. This includes all documents, photos, videos, databases, and other critical data. You cannot access them without our decryption key. # There is only one way to get your files back: 1. Download Session to contact us https://getsession.org/ 2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78) 3. Send us 1 any encrypted your file and your personal key 4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files 5. Pay 6. We send for you decryptor software # We accept Bitcoin/Monero Attention! Do not rename encrypted files. Do not try to decrypt using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78 # Your personal id: READ ME.F8C6A8.txt |
